CN112199700A - 一种mes数据系统的安全管理方法及系统 - Google Patents

一种mes数据系统的安全管理方法及系统 Download PDF

Info

Publication number
CN112199700A
CN112199700A CN202011095285.3A CN202011095285A CN112199700A CN 112199700 A CN112199700 A CN 112199700A CN 202011095285 A CN202011095285 A CN 202011095285A CN 112199700 A CN112199700 A CN 112199700A
Authority
CN
China
Prior art keywords
database
administrator
supervision
information
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011095285.3A
Other languages
English (en)
Other versions
CN112199700B (zh
Inventor
柴森春
李孟洋
王昭洋
张百海
崔灵果
李慧芳
姚分喜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Institute of Technology BIT
Original Assignee
Beijing Institute of Technology BIT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Institute of Technology BIT filed Critical Beijing Institute of Technology BIT
Priority to CN202011095285.3A priority Critical patent/CN112199700B/zh
Publication of CN112199700A publication Critical patent/CN112199700A/zh
Application granted granted Critical
Publication of CN112199700B publication Critical patent/CN112199700B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/106Enforcing content protection by specific content processing
    • G06F21/1066Hiding content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Biophysics (AREA)
  • Biomedical Technology (AREA)
  • Molecular Biology (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Computational Linguistics (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • Automation & Control Theory (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及一种MES数据系统的安全管理方法及系统。该方法包括:获取数据库操作管理员的访问数据库请求和特征信息;访问数据库请求为访问数据库中敏感信息的请求;确定访问数据库请求对应的数据库是否处于开放状态;如果是,将访问数据库请求和特征信息发送至数据库监察管理员;数据库监察管理员与数据库操作管理员处于同一权限等级;数据库监察管理员根据特征信息对数据库操作管理员进行身份验证;身份验证通过后,数据库监察管理员向数据库操作管理员颁发动态密码;数据库操作管理员根据动态密码登录MES数据系统,进行数据库中对应敏感信息的访问。本发明可以提高MES数据系统的安全性。

Description

一种MES数据系统的安全管理方法及系统
技术领域
本发明涉及数据管理领域,特别是涉及一种MES数据系统的安全管理方法及系统。
背景技术
制造执行系统(MES)为面向制造企业车间执行层的生产信息化管理系统,其弥补了管理层与控制层之间的断层,为企业提供了一个全面可靠的制造协同管理平台。对于MES的数据库系统,数据库的安全问题至关重要。但是数据库中的重要敏感信息可能会因为系统内部人员权力滥用以及外界黑客入侵等原因导致泄露。
在现有的数据库安全技术中,三权分立的思想被广泛应用于数据库安全领域。但此方法只能在一定程度上限制传统的数据库管理员的权力,并且数据库管理员依然具有自主访问控制的权力。因此,数据库管理员依然可以随意操作重要敏感数据,并且该方法无法实现对外界黑客的入侵检测、预警及防护,导致现有的MES数据系统的数据安全性低。
发明内容
本发明的目的是提供一种MES数据系统的安全管理方法及系统,以提高MES数据系统的安全性。
为实现上述目的,本发明提供了如下方案:
一种MES数据系统的安全管理方法,包括:
获取数据库操作管理员的访问数据库请求和特征信息;所述访问数据库请求为访问数据库中敏感信息的请求;
确定所述访问数据库请求对应的数据库是否处于开放状态;
当所述访问数据库请求对应的数据库处于开放状态时,将所述访问数据库请求和所述特征信息发送至数据库监察管理员;所述数据库监察管理员与所述数据库操作管理员处于同一权限等级;
所述数据库监察管理员根据所述特征信息对所述数据库操作管理员进行身份验证;
身份验证通过后,所述数据库监察管理员向所述数据库操作管理员颁发动态密码;
所述数据库操作管理员根据所述动态密码登录MES数据系统,进行数据库中对应敏感信息的访问。
可选的,所述获取数据库操作管理员的访问数据库请求和特征信息,之前还包括:
根据所述数据库中的数据,对敏感数据按照重要程度划分安全等级;
根据所述安全等级,对所有的数据库监察管理员和所有的数据库操作管理员划分权限等级;每一个安全等级对应一个权限等级,每一个权限等级的数据库操作管理员对应一个数据库监察管理员;所述数据库监察管理员用于对对应安全等级的数据库的敏感数据进行安全监督管理。
可选的,所述确定所述访问数据库请求对应的数据库是否处于开放状态,具体包括:
从所述访问数据库请求对应的数据库的日志信息中提取多个特征向量;所述多个特征向量分别为:访问所述数据库的数据总量组成的特征向量、访问所述数据库中敏感数据的数据量组成的特征向量和访问所述数据库的请求数量以及访问数据库请求失败比例组成的特征向量;
将所述多个特征向量分别输入对应的深度学习网络模型,得到每个深度学习网络模型的输出;
根据每个深度学习网络模型的输出,确定所述数据库的状态是否正常;
当所述数据库的状态为正常时,确定所述数据库处于开放状态;
当所述数据库的状态为异常时,确定所述数据库处于关闭状态。
可选的,对于每一个安全等级的敏感数据,所述数据库中采用SQL语句对不属于所述安全等级对应的权限等级的数据库操作管理员将所述敏感数据进行数据隐蔽。
可选的,所述数据库监察管理员根据所述特征信息对所述数据库操作管理员进行身份验证,具体包括:
所述数据库监察管理员根据存储的白名单对所述数据库操作管理员进行身份验证;
当所述白名单中包括所述数据库操作管理员的身份信息时,确定所述数据库操作管理员身份验证通过;
当所述白名单中不包括所述数据库操作管理员的身份信息时,确定所述数据库操作管理员身份验证未通过。
可选的,所述数据库监察管理员根据所述特征信息对所述数据库操作管理员进行身份验证,之后还包括:
身份验证不通过时,所述数据库操作管理员向上级数据库监察管理员提交申诉;
上级数据库监察管理员根据所述申诉对所述数据库操作管理员进行身份验证。
可选的,所述数据库操作管理员根据所述动态密码登录MES数据系统,进行数据库中对应敏感信息的访问,具体包括:
所述数据库操作管理员根据所述动态密码登录MES数据系统后,输入所述数据库操作管理员的私钥对所述MES数据系统中数据库的敏感信息进行解密;
解密成功时,所述数据库操作管理员根据所述访问数据库请求访问所述数据库中对应敏感信息;
解密失败时,所述数据库操作管理员无法访问所述数据库中对应敏感信息。
本发明还提供一种MES数据系统的安全管理系统,包括:
数据库操作管理员信息获取模块,用于获取数据库操作管理员的访问数据库请求和特征信息;所述访问数据库请求为访问数据库中敏感信息的请求;
数据库开放状态确定模块,用于确定所述访问数据库请求对应的数据库是否处于开放状态;
数据发送模块,用于当所述访问数据库请求对应的数据库处于开放状态时,将所述访问数据库请求和所述特征信息发送至数据库监察管理员;所述数据库监察管理员与所述数据库操作管理员处于同一权限等级;
身份验证模块,用于根据所述特征信息对所述数据库操作管理员进行身份验证;
动态密码颁发模块,用于身份验证通过后,向所述数据库操作管理员颁发动态密码;
登录模块,用于根据所述动态密码登录MES数据系统,进行数据库中对应敏感信息的访问。
可选的,还包括:
敏感数据安全等级划分模块,用于在获取数据库操作管理员的访问数据库请求和特征信息之前,根据所述数据库中的数据,对敏感数据按照重要程度划分安全等级;
权限等级划分模块,用于根据所述安全等级,对所有的数据库监察管理员和所有的数据库操作管理员划分权限等级;每一个安全等级对应一个权限等级,每一个权限等级的数据库操作管理员对应一个数据库监察管理员;所述数据库监察管理员用于对对应安全等级的数据库的敏感数据进行安全监督管理。
可选的,所述数据库开放状态确定模块具体包括:
特征向量提取单元,用于从所述访问数据库请求对应的数据库的日志信息中提取多个特征向量;所述多个特征向量分别为:访问所述数据库的数据总量组成的特征向量、访问所述数据库中敏感数据的数据量组成的特征向量和访问所述数据库的请求数量以及访问数据库请求失败比例组成的特征向量;
深度学习网络模型计算单元,用于将所述多个特征向量分别输入对应的深度学习网络模型,得到每个深度学习网络模型的输出;
数据库状态确定单元,用于根据每个深度学习网络模型的输出,确定所述数据库的状态是否正常;
数据库开放状态确定单元,用于当所述数据库的状态为正常时,确定所述数据库处于开放状态;
数据库关闭状态确定单元,用于当所述数据库的状态为异常时,确定所述数据库处于关闭状态。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明通过设置数据库监察管理员,实现了对传统的数据库操作管理员的权力限制,在对数据库操作管理员进行权力限制,即对传统的数据库管理员实施强制访问控制的同时,可以实时监察数据库的异常状态,提高了数据库系统的安全性能,解决现有技术中MES数据库系统安全性低的问题。
此外,本发明通过设置SQL语句实现对不属于敏感数据相应等级权限的DBA进行数据隐藏,进一步提高了数据库安全性能。而且,本发明将储存在数据库中的重要敏感数据进行加密处理,需要通过对应安全等级的数据库操作管理员通过私钥进行解密,这样即使不法人员获取到数据库数据,也不能够直接得到相应的明文数据,增强了数据库的安全防护等级。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明MES数据系统的安全管理方法的流程示意图;
图2为本发明MES数据系统的安全管理系统的结构示意图;
图3为本发明具体实施案例的流程示意图;
图4为本发明判断数据库状态是否异常的算法示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
图1为本发明MES数据系统的安全管理方法的流程示意图。如图1所示,本发明MES数据系统的安全管理方法包括以下步骤:
步骤100:获取数据库操作管理员的访问数据库请求和特征信息。数据库操作管理员根据想要访问的数据库向该数据库发送访问数据库请求,所述访问数据库请求为访问数据库中敏感信息的请求。同时需要在验证界面输入数据库操作管理员个人的特征信息,例如,虹膜、指纹信息等。
步骤200:确定访问数据库请求对应的数据库是否处于开放状态。具体过程为:
从所述访问数据库请求对应的数据库的日志信息中提取多个特征向量;所述多个特征向量分别为:访问所述数据库的数据总量组成的特征向量、访问所述数据库中敏感数据的数据量组成的特征向量和访问所述数据库的请求数量以及访问数据库请求失败比例组成的特征向量;
将所述多个特征向量分别输入对应的深度学习网络模型,得到每个深度学习网络模型的输出;
根据每个深度学习网络模型的输出,确定所述数据库的状态是否正常;
当所述数据库的状态为正常时,确定所述数据库处于开放状态;
当所述数据库的状态为异常时,确定所述数据库处于关闭状态。
步骤300:当访问数据库请求对应的数据库处于开放状态时,将访问数据库请求和特征信息发送至数据库监察管理员。所述数据库监察管理员与所述数据库操作管理员处于同一权限等级。数据库检查管理员用于管理数据库操作管理员个人信息、审查数据库是否异常、报表记录、为数据库操作管理员颁发动态密码等。在数据库操作管理员发送访问数据库请求之前,需要对数据库监察管理员和数据库操作管理员按权限等级进行划分。具体的,首先根据所述数据库中的数据,对敏感数据按照重要程度划分安全等级;然后,根据所述安全等级,对所有的数据库监察管理员和所有的数据库操作管理员划分权限等级;每一个安全等级对应一个权限等级,每一个权限等级的数据库操作管理员对应一个数据库监察管理员;所述数据库监察管理员用于对对应安全等级的数据库的敏感数据进行安全监督管理。对数据库操作管理员和敏感数据进行划分后,本发明对于每一个安全等级的敏感数据,所述数据库中采用SQL语句对不属于所述安全等级对应的权限等级的数据库操作管理员将所述敏感数据进行数据隐蔽,由此进一步增加数据的安全性能。
步骤400:数据库监察管理员根据特征信息对数据库操作管理员进行身份验证。数据库监察管理员根据存储的白名单对所述数据库操作管理员进行身份验证,所述白名单中包括所述数据库操作管理员的身份信息时,则数据库操作管理员身份验证通过;所述白名单中不包括所述数据库操作管理员的身份信息时,则所述数据库操作管理员身份验证未通过。
步骤500:身份验证通过后,数据库监察管理员向数据库操作管理员颁发动态密码。若身份验证未通过,数据库操作管理员可以向上级数据库监察管理员提出申诉,交由上级数据库监察管理员进行处理。
步骤600:数据库操作管理员根据动态密码登录MES数据系统,进行数据库中对应敏感信息的访问。数据库操作管理员根据动态密码登录MES数据系统后,需要通过自己的RSA私钥进行解密,解密成功后,则可以获得数据库中敏感数据的明文数据并执行相应操作;若解密失败,则MES系统拒绝该访问请求,数据库操作管理员无法访问所述数据库中对应敏感信息。
图2为本发明MES数据系统的安全管理系统的结构示意图。如图2所示,本发明MES数据系统的安全管理系统包括:
数据库操作管理员信息获取模块201,用于获取数据库操作管理员的访问数据库请求和特征信息;所述访问数据库请求为访问数据库中敏感信息的请求。
数据库开放状态确定模块202,用于确定所述访问数据库请求对应的数据库是否处于开放状态。
数据发送模块203,用于当所述访问数据库请求对应的数据库处于开放状态时,将所述访问数据库请求和所述特征信息发送至数据库监察管理员;所述数据库监察管理员与所述数据库操作管理员处于同一权限等级。
身份验证模块204,用于根据所述特征信息对所述数据库操作管理员进行身份验证。
动态密码颁发模块205,用于身份验证通过后,向所述数据库操作管理员颁发动态密码。
登录模块206,用于根据所述动态密码登录MES数据系统,进行数据库中对应敏感信息的访问。
作为另一实施例,本发明的MES数据系统的安全管理系统还包括:
敏感数据安全等级划分模块,用于在获取数据库操作管理员的访问数据库请求和特征信息之前,根据所述数据库中的数据,对敏感数据按照重要程度划分安全等级。
权限等级划分模块,用于根据所述安全等级,对所有的数据库监察管理员和所有的数据库操作管理员划分权限等级;每一个安全等级对应一个权限等级,每一个权限等级的数据库操作管理员对应一个数据库监察管理员;所述数据库监察管理员用于对对应安全等级的数据库的敏感数据进行安全监督管理。
作为另一实施例,本发明的MES数据系统的安全管理系统中,所述数据库开放状态确定模块202具体包括:
特征向量提取单元,用于从所述访问数据库请求对应的数据库的日志信息中提取多个特征向量;所述多个特征向量分别为:访问所述数据库的数据总量组成的特征向量、访问所述数据库中敏感数据的数据量组成的特征向量和访问所述数据库的请求数量以及访问数据库请求失败比例组成的特征向量。
深度学习网络模型计算单元,用于将所述多个特征向量分别输入对应的深度学习网络模型,得到每个深度学习网络模型的输出。
数据库状态确定单元,用于根据每个深度学习网络模型的输出,确定所述数据库的状态是否正常。
数据库开放状态确定单元,用于当所述数据库的状态为正常时,确定所述数据库处于开放状态。
数据库关闭状态确定单元,用于当所述数据库的状态为异常时,确定所述数据库处于关闭状态。
下面提供一个具体实施案例进一步说明本发明的方案。
图3为本发明具体实施案例的流程图,如图3所示,本具体实施案例包括以下过程:
步骤1:对数据库操作管理员、数据库监察管理员以及数据库重要敏感数据等级标记。
在传统的MES系统的数据库基础上增添数据库监察管理员,其主要职责在于管理数据库操作管理员个人信息、审查数据库是否异常、报表记录、为数据库操作管理员颁发动态密码等;针对MES数据系统的不同节点等级,对数据库操作管理员和监察管理员实行等级权限划分。数据库监察管理员不具备对数据库数据进行操作的权力,只负责对数据库的安全监察管理。
对数据库中普通数据不予处理,对敏感数据依照其重要程度大小进行安全等级标记。然后根据敏感数据的安全等级,依据MES节点,对数据库操作管理员(DBA)和数据库监察管理员(DMA)进行权限等级划分。对于某一权限等级的DMA,其监察对象为相同权限等级的DBA。
本发明的MES系统中的数据库通过增加SQL语句对不属于敏感数据相应权限等级的DBA进行数据隐藏,由此进一步加强数据的安全性能。
步骤2:MES系统数据库操作管理员通过万维网向相应等级权限的数据库监察管理员发送访问数据库请求,并且需要在验证界面输入个人的特征信息,例如虹膜、指纹信息等,这些特征信息将被数据库监察管理员接收。
步骤3:数据库操作管理员在对某一数据库发送访问请求时,数据库监察系统需要通过固定的API接口判断此数据库是否处于开放状态。若是,则将该访问请求及数据库操作管理员的特征信息发送到数据库监察管理员;否则,拒绝该访问请求。
本发明在MES系统的各级数据库中增添数据库特征提取模块。数据库特征提取模块从大量的日志信息中提取出多个特征向量。图4为本发明判断数据库状态是否异常的算法示意图,如图4所示,以在MES数据库监察系统中构造了三个深度学习网络为例,数据库特征提取模块提取得到3个特征向量,分别为:访问MES数据库的数据总量(大量数据拖取)组成的特征向量、访问重要敏感数据的数据量(重要敏感数据拖取)组成的特征向量、用户访问MES数据库的请求数量以及用户发起数据库访问请求失败比例(黑客访问控制漏洞嗅探)组成的特征向量。在每个深度学习网络中,以每小时为单位进行特征向量的数据采集,这样对于第一个和第二个深度学习网络,其输入特征向量的维度均为24,对于第三个深度学习网络,其输入维度为48。为了防止各特征值数据的巨大差异影响到最终训练的结果,需要对采集到的原始特征数据进行归一化处理。数据归一化公式:
Figure BDA0002723539250000101
经过处理后的数据即为深度神经网络所能识别的输入数据类型。本发明采取监督学习的方法,采用大量的数据对三个深度学习网络进行训练。每个输入特征向量经过对应的深度神经网络处理后得到y1、y2两个输出值。此输出值即为数据库的状态标签。
对于每个深度神经网络,若0<y1,y2<1,y1>y2,y1>a1则表示数据库该状态正常;若0<y1,y2<1,y2>y1,y2>a2则表示数据库该状态异常。a1,a2分别为对应状态设定的正常阈值和异常阈值。正常状态保存为布尔值真,异常状态保存为布尔值假,分别表示数据库开放和关闭。在对数据库状态进行标定的同时,监察系统同时也标记出数据库的异常类型并反馈给数据库监察管理员,此异常类型分别为大量数据拖取、重要敏感数据拖取以及黑客访问控制漏洞嗅探。即第一个深度神经网络输出的两个输出值经过对应阈值判断后,确定为数据库状态异常,则表示大量数据拖取;第二个深度神经网络输出的两个输出值经过对应阈值判断后,确定为数据库状态异常,则表示重要敏感数据拖取;第三个深度神经网络输出的两个输出值经过对应阈值判断后,确定为数据库状态异常,则表示黑客访问控制漏洞嗅探。
步骤4:数据库监察管理员在获取到数据库操作管理员的特征信息后,依照监察系统中所存取的白名单信息确认数据库操作管理员的身份是否可信。如果数据库操作管理员存在系统白名单中,则验证通过,数据库监察管理员为其颁发动态密码。否则,验证失败,拒绝该访问请求。特殊情况下,例如在数据库操作管理员状态正常的情况下,数据库监察管理员不予通过,数据库操作管理员可向上级数据库监察管理员提出申诉,交由上级数据库监察管理员处理。
步骤5:数据库中的存储的敏感数据应是经过AES加密标准加密后的密文,获取敏感数据明文需要经过相应安全等级的数据库操作管理员通过自己的RSA私钥解密。若成功解密,则最终获取数据库明文数据并执行相应操作。否则,拒绝该访问请求。
本发明可以对数据库操作管理员进行权力限制,即对传统的数据库管理员实施强制访问控制,同时实现实时监察数据库异常状态,提高了数据库系统的安全性能,解决现有技术中MES数据库系统安全性低的问题。而且通过设置数据库监察管理员,实现了对传统的数据库操作管理员的权力限制。相较于传统的数据库三权分立的方法,本方法实现了对传统的数据库管理员的强制访问控制。
此外,通过设置SQL语句实现对不属于敏感数据相应等级权限的DBA进行数据隐藏,即为安全等级对应数据显示模块,进一步提高了数据库安全性能。通过步骤3,可以实现对MES系统数据库状态的实时监测,针对不同的异常类型,有效地实现异常报警、状态反馈以及应急措施,进一步提高了数据库的安全性能。通过步骤5,将储存在数据库中的重要敏感数据进行加密处理,这样即使不法人员获取到数据库数据,也不能够直接得到相应的明文数据,增强了数据库的安全防护等级。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种MES数据系统的安全管理方法,其特征在于,包括:
获取数据库操作管理员的访问数据库请求和特征信息;所述访问数据库请求为访问数据库中敏感信息的请求;
确定所述访问数据库请求对应的数据库是否处于开放状态;
当所述访问数据库请求对应的数据库处于开放状态时,将所述访问数据库请求和所述特征信息发送至数据库监察管理员;所述数据库监察管理员与所述数据库操作管理员处于同一权限等级;
所述数据库监察管理员根据所述特征信息对所述数据库操作管理员进行身份验证;
身份验证通过后,所述数据库监察管理员向所述数据库操作管理员颁发动态密码;
所述数据库操作管理员根据所述动态密码登录MES数据系统,进行数据库中对应敏感信息的访问。
2.根据权利要求1所述的MES数据系统的安全管理方法,其特征在于,所述获取数据库操作管理员的访问数据库请求和特征信息,之前还包括:
根据所述数据库中的数据,对敏感数据按照重要程度划分安全等级;
根据所述安全等级,对所有的数据库监察管理员和所有的数据库操作管理员划分权限等级;每一个安全等级对应一个权限等级,每一个权限等级的数据库操作管理员对应一个数据库监察管理员;所述数据库监察管理员用于对对应安全等级的数据库的敏感数据进行安全监督管理。
3.根据权利要求1所述的MES数据系统的安全管理方法,其特征在于,所述确定所述访问数据库请求对应的数据库是否处于开放状态,具体包括:
从所述访问数据库请求对应的数据库的日志信息中提取多个特征向量;所述多个特征向量分别为:访问所述数据库的数据总量组成的特征向量、访问所述数据库中敏感数据的数据量组成的特征向量和访问所述数据库的请求数量以及访问数据库请求失败比例组成的特征向量;
将所述多个特征向量分别输入对应的深度学习网络模型,得到每个深度学习网络模型的输出;
根据每个深度学习网络模型的输出,确定所述数据库的状态是否正常;
当所述数据库的状态为正常时,确定所述数据库处于开放状态;
当所述数据库的状态为异常时,确定所述数据库处于关闭状态。
4.根据权利要求1所述的MES数据系统的安全管理方法,其特征在于,对于每一个安全等级的敏感数据,所述数据库中采用SQL语句对不属于所述安全等级对应的权限等级的数据库操作管理员将所述敏感数据进行数据隐蔽。
5.根据权利要求1所述的MES数据系统的安全管理方法,其特征在于,所述数据库监察管理员根据所述特征信息对所述数据库操作管理员进行身份验证,具体包括:
所述数据库监察管理员根据存储的白名单对所述数据库操作管理员进行身份验证;
当所述白名单中包括所述数据库操作管理员的身份信息时,确定所述数据库操作管理员身份验证通过;
当所述白名单中不包括所述数据库操作管理员的身份信息时,确定所述数据库操作管理员身份验证未通过。
6.根据权利要求1所述的MES数据系统的安全管理方法,其特征在于,所述数据库监察管理员根据所述特征信息对所述数据库操作管理员进行身份验证,之后还包括:
身份验证不通过时,所述数据库操作管理员向上级数据库监察管理员提交申诉;
上级数据库监察管理员根据所述申诉对所述数据库操作管理员进行身份验证。
7.根据权利要求1所述的MES数据系统的安全管理方法,其特征在于,所述数据库操作管理员根据所述动态密码登录MES数据系统,进行数据库中对应敏感信息的访问,具体包括:
所述数据库操作管理员根据所述动态密码登录MES数据系统后,输入所述数据库操作管理员的私钥对所述MES数据系统中数据库的敏感信息进行解密;
解密成功时,所述数据库操作管理员根据所述访问数据库请求访问所述数据库中对应敏感信息;
解密失败时,所述数据库操作管理员无法访问所述数据库中对应敏感信息。
8.一种MES数据系统的安全管理系统,其特征在于,包括:
数据库操作管理员信息获取模块,用于获取数据库操作管理员的访问数据库请求和特征信息;所述访问数据库请求为访问数据库中敏感信息的请求;
数据库开放状态确定模块,用于确定所述访问数据库请求对应的数据库是否处于开放状态;
数据发送模块,用于当所述访问数据库请求对应的数据库处于开放状态时,将所述访问数据库请求和所述特征信息发送至数据库监察管理员;所述数据库监察管理员与所述数据库操作管理员处于同一权限等级;
身份验证模块,用于根据所述特征信息对所述数据库操作管理员进行身份验证;
动态密码颁发模块,用于身份验证通过后,向所述数据库操作管理员颁发动态密码;
登录模块,用于根据所述动态密码登录MES数据系统,进行数据库中对应敏感信息的访问。
9.根据权利要求8所述的MES数据系统的安全管理系统,其特征在于,还包括:
敏感数据安全等级划分模块,用于在获取数据库操作管理员的访问数据库请求和特征信息之前,根据所述数据库中的数据,对敏感数据按照重要程度划分安全等级;
权限等级划分模块,用于根据所述安全等级,对所有的数据库监察管理员和所有的数据库操作管理员划分权限等级;每一个安全等级对应一个权限等级,每一个权限等级的数据库操作管理员对应一个数据库监察管理员;所述数据库监察管理员用于对对应安全等级的数据库的敏感数据进行安全监督管理。
10.根据权利要求8所述的MES数据系统的安全管理系统,其特征在于,所述数据库开放状态确定模块具体包括:
特征向量提取单元,用于从所述访问数据库请求对应的数据库的日志信息中提取多个特征向量;所述多个特征向量分别为:访问所述数据库的数据总量组成的特征向量、访问所述数据库中敏感数据的数据量组成的特征向量和访问所述数据库的请求数量以及访问数据库请求失败比例组成的特征向量;
深度学习网络模型计算单元,用于将所述多个特征向量分别输入对应的深度学习网络模型,得到每个深度学习网络模型的输出;
数据库状态确定单元,用于根据每个深度学习网络模型的输出,确定所述数据库的状态是否正常;
数据库开放状态确定单元,用于当所述数据库的状态为正常时,确定所述数据库处于开放状态;
数据库关闭状态确定单元,用于当所述数据库的状态为异常时,确定所述数据库处于关闭状态。
CN202011095285.3A 2020-10-14 2020-10-14 一种mes数据系统的安全管理方法及系统 Active CN112199700B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011095285.3A CN112199700B (zh) 2020-10-14 2020-10-14 一种mes数据系统的安全管理方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011095285.3A CN112199700B (zh) 2020-10-14 2020-10-14 一种mes数据系统的安全管理方法及系统

Publications (2)

Publication Number Publication Date
CN112199700A true CN112199700A (zh) 2021-01-08
CN112199700B CN112199700B (zh) 2022-07-19

Family

ID=74009640

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011095285.3A Active CN112199700B (zh) 2020-10-14 2020-10-14 一种mes数据系统的安全管理方法及系统

Country Status (1)

Country Link
CN (1) CN112199700B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112765218A (zh) * 2021-01-29 2021-05-07 威讯柏睿数据科技(北京)有限公司 一种多层级安全保护的流数据处理方法及系统
CN112861142A (zh) * 2021-02-22 2021-05-28 北京安华金和科技有限公司 数据库的风险等级确定方法和装置、存储介质及电子装置

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020078049A1 (en) * 2000-12-15 2002-06-20 Vipin Samar Method and apparatus for management of encrypted data through role separation
CN1858740A (zh) * 2006-05-31 2006-11-08 武汉华工达梦数据库有限公司 应用于数据库安全管理的三权分立安全方法
CN104166812A (zh) * 2014-06-25 2014-11-26 中国航天科工集团第二研究院七〇六所 一种基于独立授权的数据库安全访问控制方法
CN105718812A (zh) * 2014-12-05 2016-06-29 上海赞越软件服务中心 基于用户的双向权限管理机制
CN106778325A (zh) * 2016-11-24 2017-05-31 杭州领点科技有限公司 一种信息保密系统及其操作方法
CN107563221A (zh) * 2017-09-04 2018-01-09 安徽爱她有果电子商务有限公司 一种用于加密数据库的认证解码安全管理系统
CN110957025A (zh) * 2019-12-02 2020-04-03 重庆亚德科技股份有限公司 一种医疗卫生信息安全管理系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020078049A1 (en) * 2000-12-15 2002-06-20 Vipin Samar Method and apparatus for management of encrypted data through role separation
CN1858740A (zh) * 2006-05-31 2006-11-08 武汉华工达梦数据库有限公司 应用于数据库安全管理的三权分立安全方法
CN104166812A (zh) * 2014-06-25 2014-11-26 中国航天科工集团第二研究院七〇六所 一种基于独立授权的数据库安全访问控制方法
CN105718812A (zh) * 2014-12-05 2016-06-29 上海赞越软件服务中心 基于用户的双向权限管理机制
CN106778325A (zh) * 2016-11-24 2017-05-31 杭州领点科技有限公司 一种信息保密系统及其操作方法
CN107563221A (zh) * 2017-09-04 2018-01-09 安徽爱她有果电子商务有限公司 一种用于加密数据库的认证解码安全管理系统
CN110957025A (zh) * 2019-12-02 2020-04-03 重庆亚德科技股份有限公司 一种医疗卫生信息安全管理系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
和旭冉: "网络数据库系统安全防护技术实现", 《电子技术与软件工程》 *
宋峥峥: "一种基于多方授权和动态口令的SAP安全敏感信息管理模型", 《硅谷》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112765218A (zh) * 2021-01-29 2021-05-07 威讯柏睿数据科技(北京)有限公司 一种多层级安全保护的流数据处理方法及系统
CN112861142A (zh) * 2021-02-22 2021-05-28 北京安华金和科技有限公司 数据库的风险等级确定方法和装置、存储介质及电子装置

Also Published As

Publication number Publication date
CN112199700B (zh) 2022-07-19

Similar Documents

Publication Publication Date Title
US10104061B2 (en) Method and system for distinguishing humans from machines and for controlling access to network services
CN112182519B (zh) 一种计算机存储系统安全访问方法及访问系统
KR101755995B1 (ko) 동형 암호를 이용한 특성벡터 기반 원격 바이오 인증 방법 및 시스템
CN112199700B (zh) 一种mes数据系统的安全管理方法及系统
CN116962076A (zh) 基于区块链的物联网零信任系统
CN115314286A (zh) 一种安全保障系统
CN112347451A (zh) 一种基于区块链技术的mes数据管理追踪方法及系统
CN116522197A (zh) 基于安全管理的身份鉴权及访问控制系统
CN114021109A (zh) 一种用于实现烟草行业车间级工控系统身份认证与访问管理的系统与方法
CN116821928A (zh) 一种提高电力边缘计算芯片内部数据安全性的方法及系统
CN118349979A (zh) 一种应用于智慧医疗的用户信息安全处理控制系统
CN117478403A (zh) 一种全场景网络安全威胁关联分析方法及系统
Ghadge Enhancing threat detection in Identity and Access Management (IAM) systems
Kovalchuk et al. A practical proposal for ensuring the provenance of hardware devices and their safe operation
Pan et al. PLC Protection System Based on Verification Separation.
Arjunwadkar et al. The rule based intrusion detection and prevention model for biometric system
US12069070B2 (en) Systems and methods for early detection, warning and prevention of cyber threats
Malek et al. User Behaviour based Intrusion Detection System Overview
CN112000953A (zh) 一种大数据终端安全防护系统
Alguliev et al. Illegal access detection in the cloud computing environment
CN118036046B (zh) 一种基于信息安全数据的泄露防护方法及系统
Fu et al. An Improved Biometric Fuzzy Signature with Timestamp of Blockchain Technology for Electrical Equipment Maintenance
CN117390708B (zh) 一种隐私数据安全保护方法及系统
Chakraborty Digital defense: Verification of security intelligence
MOSTAFA et al. FALSE ALARM REDUCTION SCHEME FOR DATABASE INTRUSION DETECTION SYSTEM.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant